Java：如何防止Web应用受到XSS攻击跨脚本

我使用JSP和Servlet开发了Java Web应用程序。客户确实使用安全团队进行了安全审核，然后他们回来抱怨该应用程序容易受到XSS攻击（跨脚本）的攻击。

他们建议对所有字段进行输出验证以及服务器端输入验证，并建议使用来自Owasp和Apache的集中式输入验证Lin's。

我对此进行了搜索，似乎是正确的，但是装饰精美的SO用户建议进行输出验证就足够了-https://stackoverflow.com/a/3445373/1379286

根据他的说法，攻击对数据库或服务器代码没有意义，因此我们只需要担心显示问题。答案很旧，但是在2020年5月进行了修改

该Web应用程序由公司的总经理和IT管理员使用，可以通过公共URL获取

那么，只有JSTL是可行的方式？